Ces derniers mois, nous avons vu des acteurs malveillants réutiliser des appareils domestiques et de petite entreprise pour construire des réseaux de rappel avec la capacité de lancer des attaques massives. Selon des sociétés de sécurité telles que Fortinet FortiGuard Labs et Palo Alto Networks Unit 42, les magnétoscopes numériques TBK (DVR) et les routeurs Wi-Fi TP-Link qui ont déjà atteint la fin de leur support pour déployer des variantes Mirai et des outils connexes sont exploités.
Dans le cas des dispositifs DVR TBK, les analystes ont identifié l'exploitation de la vulnérabilité appelée CVE-2024-3721. Les attaquants utilisent cet échec pour exécuter un petit script de téléchargement qui, selon l'architecture Linux de l'équipe engagée, installe une variante de Mirai nommée par les chercheurs comme "Nexcorium". Le processus est simple mais efficace: la chaîne d'infection détecte l'architecture, abaisse le binaire approprié et le démarre; peu après que l'appareil infecté montre un message de contrôle - "nexuscorp a pris le contrôle" - qui confirme la persistance de l'acteur dans l'équipe.
Nexcorium n'est pas un jouet: il partage des composants typiques des familles modernes de botnet IoT, les techniciens expliquent. Ses caractéristiques incluent l'initialisation d'une table de configuration encodée XOR, un module de chien de montre pour s'assurer que les logiciels malveillants sont toujours en vie, et plusieurs modules orientés DDoS. Il intègre également des exploits connus - par exemple, il tente de profiter de CVE-2017-17215 pour compromettre les routeurs Huawei HG532 qui peuvent être sur le même réseau - et a une liste d'identificateurs intégrés qu'il utilise dans les attaques de force brute contre les services ouverts Telnet.
Si une tentative Telnet est réussie, Nexcorium essaie d'obtenir un shell, d'implémenter des mécanismes de persistance par crontab ou un service système et de se connecter à un serveur de commande et de contrôle pour recevoir des instructions d'attaque (UDP, TCP ou même SMTP). Pour rendre l'analyse médico-légale difficile, une fois que vous avez réussi à laisser un mécanisme persistant, supprimer le binaire original de l'équipement.
La description technique et les indicateurs d'engagement pour cette campagne se trouvent dans les analyses des chercheurs ; Fortinet documente ces comportements dans son espace de recherche et Palo Alto Networks offre un contexte supplémentaire sur l'activité d'exploitation automatisée qu'il observe sur le réseau. Pour ceux qui veulent approfondir, les portails des fabricants et des groupes de réponse publient des rapports qui aident à comprendre l'évolution de ces menaces : Fortinet publie des recherches techniques sur les menaces sur son blog Labs FortiGuard et l'unité 42 de Palo Alto Networks maintient des entrées sur l'analyse des logiciels malveillants et les campagnes IoT en votre blog.
En parallèle, l'unité 42 a détecté des balayages actifs visant une vulnérabilité des routeurs TP-Link listés comme CVE-2023-33538. Ces dispositifs sont déjà en dehors du cycle de support, et bien que les tentatives observées par les chercheurs aient été mal construites et n'aient pas exécuté de code, le défaut sous-jacent est réel; par conséquent, CISA a inclus l'entrée dans son catalogue de vulnérabilités exploitées dans la nature. La liste des modèles concernés comprend des versions spécifiques de TL-WR940N, TL-WR740N et TL-WR841N, qui sont encore courantes dans les réseaux domestiques et les petits bureaux et donc une cible facile pour les campagnes automatisées.
Le problème n'est pas seulement l'existence de défaillances, mais la combinaison avec les identifiants par défaut et l'équipement qui ne reçoivent plus de correctifs.. Lorsqu'un routeur cesse de mettre à jour et suit avec les mots de passe d'usine, une vulnérabilité qui nécessiterait l'authentification peut devenir une porte d'entrée critique dans les mains des attaquants déterminés. L'unité 42 avertit en outre que les échantillons qu'ils ont suivis comprennent la capacité de se mettre à jour et de se présenter comme des serveurs Web qui propagent l'infection aux dispositifs qui se connectent à eux.
Pour ceux qui gèrent des réseaux domestiques ou de petites infrastructures, les recommandations pratiques ne sont pas nouvelles mais cruciales : remplacer les équipements non pris en charge par des modèles mis à jour, modifier les identifiants par défaut, désactiver des services inutiles comme Telnet et segmenter le réseau pour isoler les caméras, les enregistreurs et autres IoT d'autres appareils. La CISA tient à jour un catalogue public avec des vulnérabilités réelles et des recommandations qu'il est utile d'examiner, disponible dans votre site. Il convient également de consulter les descriptions des vulnérabilités dans le référentiel national pour connaître l'impact technique, par exemple les entrées NVD pour CVE-2017-17215 et CVE-2023-33538 en NVD CVE-2017-17215 et NVD CVE-2023-33538.
La réapparition de Mirai et de ses dérivés n'est pas une surprise : ces familles sont toujours préférées par les opérateurs de botnet pour leur simplicité, leur faible coût et le grand nombre d'appareils exposés avec des paramètres par défaut. Des recherches menées récemment par des tiers, y compris des rapports sur les services de « chargeur-as-a-service » qui distribuent des charges telles que Mirai, montrent également qu'il existe un écosystème criminel bien développé qui facilite ces infections aux groupes ayant différents niveaux de compétence. Pour comprendre ces modèles d'abus, les rapports d'entreprises comme CloudSEK offrent un contexte sur la façon dont ces outils sont monétisés et distribués; leur blog est une bonne lecture introductive sur CloudSEK Recherche.
La leçon est claire : la sécurité du réseau commence par le périmètre le plus faible - souvent un routeur ou une caméra sans patching - et passe par des mesures de base mais efficaces. La mise à jour du firmware dans la mesure du possible, le remplacement de l'équipement EoL, la suppression des comptes par défaut et des mots de passe et la surveillance des connexions inhabituelles sont des étapes qui réduisent considérablement le risque de se retrouver dans un botnet qui, en fin de compte, peut affecter à la fois la vie privée et la disponibilité des services Internet.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...